Outsourcing av sekretessreglerad verksamhet
– Möjlighet eller omöjlighetInstitutionen för juridik, psykologi och socialt arbete vid Örebro universitet
Robin Henningson
Examinationsarbete inom juristprogrammet (JU101A) 30 högskolepoäng
Handledare Annica Burman
Examinator
Jesper Ekeroth/Josef Zila VT 2016
1
Sammanfattning
De senaste decennierna har arbetet och administrationen inom den offentliga förvaltningen genomgått en betydande förvandling. Den tekniska utveckling som ägt rum under denna peri-od har möjliggjort att stora effektivitetsvinster i myndigheternas dagliga arbete och organisa-tion kunnat åstadkommas samt att möjligheten till kommunikaorganisa-tion förbättrats. Digitalisering-en av myndigheternas verksamhet har ävDigitalisering-en medfört att Digitalisering-en ny förvaltningsmodell växt fram, kallad elektronisk förvaltning eller e-förvaltning. Omställningen har dock inte varit problem-fri. Frågor har väckts om bl.a. exklusion för vissa samhällsgrupper från samhällsservice. Teknisk utveckling och innovation är någonting som främst drivs fram genom privata företags och enskilda individers försorg. Det är därför av stort intresse och värde att sådana tekniska framsteg även kan komma den offentliga förvaltningen till nytta. Det är dock inte endast träffande den tekniska innovationen som det allmänna kan ta lärdom av det privata. Även be-träffande verksamhetsorganisation och effektivisering kan parterna ha ett positivt och kom-mersiellt utbyte av varandra. Ett exempel på sådant utbyte är vid outsourcing av myndigheters olika förvaltningsuppgifter till privata aktörer.
Att använda sig av privata aktörer för att utföra vissa arbetsuppgifter och bedriva vissa verk-samheter som traditionellt utförts av staten är dock fortfarande kontroversiellt i vissa fall. Ett tydligt problemområde är i de fall den aktuella verksamheten är reglerad med sekretess. Den-na fråga ställdes på sin spets 2014 då Justitieombudsmannen (JO) uttalade allvarlig kritik i ett granskningsärende mot vårdgivare som hade använt sig av ett privat företag för behandling av vårdjournaler. Parterna hade i det aktuella ärendet undertecknat förbindelser om tystnadsplikt för behandlingen av uppgifterna. Detta i enlighet med den då rådande uppfattningen att tillvä-gagångssättet utgjorde en tillräcklig garanti för att uppgifterna skulle behandlas på ett korrekt sätt. JO var dock av åsikten att det skadeståndsansvar som kan uppkomma till följd av brott mot en avtalsreglerad tystnadsplikt inte kan utgöra en tillräcklig garanti för uppgifternas be-handling för att förfarandet skulle anses vara i överensstämmelse med sekretessregleringen. JO:s ställningstagande gick mot tidigare praxis i liknande granskningsärenden från ombuds-männen. Senast 2009 valde Justitiekanslern i ett likartat granskningsärende att inte uttala kri-tik mot en statlig myndighet som valt att anlita ett privat företag för utskrifts- och posttjänster där de behandlade uppgifterna reglerades med sekretess. Rättsläget tycks därför vara oklart beträffande flera relevanta frågställningar vid myndigheters outsourcing. En närbesläktad frå-ga är även hur en sådan outsourcing ska utformas för att tillmötesgå de krav som uppställs i lagstiftningen kring sekretess och personuppgiftshantering. Mot bakgrund av det existerande författningsunderlaget torde någon generell lösning på det aktuella problemet vara svår att peka ut, även om ett flertal alternativ finns tillgängliga i enskilda fall. Synen på problemet och hur det bör lösas varierar dessutom. Sådana slutsatser som kan dras utifrån gällande rätt är dock att starkare former av sekretess torde innebära att upphandlande myndigheter måste stäl-la krav på långtgående åtgärder hos underleverantören för att skydda uppgifterna och motver-ka att dessa inte sprids vidare till obehöriga.
2
Innehållsförteckning
Förkortningar ... 4
1. Inledning ... 5
1.1. Bakgrund ... 5
1.2. Syfte och avgränsningar ... 6
1.3. Metod och material ... 8
1.4. Disposition ... 10
2. E-förvaltningen – möjligheter och utmaningar ... 11
2.1. E-Förvaltning och förvaltningsrätten ... 11
2.2. Möjligheter och problem i den svenska e-förvaltningen ... 12
2.3. Outsourcing ... 14
3. Frågan om offentlighet, sekretess och personuppgiftsbehandling ... 17
3.1. Offentlighetsprincipen ... 17
3.2. Sekretesslagstiftningen ... 18
3.3. Sekretessbrytande bestämmelser ... 20
3.3.1. Nödvändigt utlämnande ... 21
3.3.2. Utlämnande med förbehåll ... 22
3.3.3. Regeringens allmänna dispensmöjligheter... 22
3.4. Behandling av personuppgifter ... 23
3.4.1. Personuppgiftsbehandling idag ... 23
3.4.2. Personuppgiftsbehandling imorgon ... 26
3.5. Avtalsreglerade tystnadsplikter ... 26
4. Analys och jämförelse av ombudsmännens praxis ... 28
4.1. Outsourcing av journalföring inom vården ... 28
4.2. JO:s bedömning ... 28
4.3. E-delegationens utredning ... 30
4.4. Konsekvensanalys ... 31
4.5. JO:s beslut i ljuset av ombudsmännens tidigare praxis ... 32
5. Sekretess vid outsourcing - möjlighet eller omöjlighet? ... 36
5.1. Röjandebegreppet ... 36
5.2. Olika nivåer av sekretess och sekretessprövning ... 38
3
5.2.2. Alternativa sanktionsmöjligheter? ... 45
5.3. Tillämpning av sekretessbrytande bestämmelser ... 47
5.3.1. Nödvändigt utlämnande ... 47
5.3.2. Utlämnande med förbehåll ... 48
5.3.3. Regeringens allmänna dispensbefogenhet ... 49
6. Slutreflektion och förslag till kravspecifikation vid upphandling ... 50
6.1. Slutreflektion och sammanfattning av relevanta frågor ... 50
6.2. Förslag till kravspecifikation vid upphandling ... 51
4
Förkortningar
DataL Datalag (1973:289 upphävd)
DN Dagens nyheter
EKMR Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (1994:1214)
EU Europeiska unionen FHL Lag (1990:409) om företagshemligheter FL Förvaltningslag (1986:223) FT Förvaltningsrättslig tidsskrift HD Högsta domstolen HFD Högsta förvaltningsdomstolen
JO Justitieombudsmannen eller myndighetens beslut JK Justitiekanslern eller myndighetens beslut
NJA Nytt juridiskt arkiv, avd. I
OSL Offentlighets- och sekretesslag (2009:400) PdL Patientdatalag (2008:355) PsL Patientsäkerhetslag (2010:659) Prop. Proposition PuL Personuppgiftslag (1998:204) RF Regeringsform (1974:152) RÅ Regeringsrättens årsbok SCB Statistiska centralbyrån
SekrL Sekretesslag (1980:100 upphävd) SOSFS Socialstyrelsens föreskrifter SOU Statens offentliga utredningar SÄPO Säkerhetspolisen
TF Tryckfrihetsförordning (1949:105) YGL Yttrandefrihetsgrundlagen (1991:1469)
5
1. Inledning
1.1. Bakgrund
Den tekniska utvecklingen de senaste decennierna har medfört stora förändringar för hur människor idag arbetar och lever sina liv. Introduktionen av persondatorer, internet,
smartphones m.m. i människors vardagsliv har möjliggjort för enskilda att kommunicera och interagera med omvärlden utan att individen behöver lämna sitt hem. Utvecklingen innebär även möjligheter att effektivisera och förbättra olika typer av verksamheter och organisatio-ner, detta gäller inte minst den offentliga förvaltningen. De offentliga organisationerna har i dagsläget digitaliserat stora delar av sin verksamhet till något som benämns e-förvaltning.1 Enskilda kan idag digitalt lämna in sin skattedeklaration, ansöka om antagning till högskolor, starta företag etc. genom att använda sig av myndigheternas s.k. e-tjänster.
Förändringen innebär även utmaningar. För att förvaltningsmyndigheterna ska kunna erbjuda en god och relevant samhällsservice finns ett stort behov av att möjliggöra ett snabbt informa-tionsutbyte mellan individ och myndighet, mellan olika myndigheter verksamma inom lik-nande eller samverkande verksamheter samt mellan myndighetens anställda. Det är därför av vikt att myndigheterna kan följa med i den tekniska utvecklingen som sker. Myndigheten måste finna och använda sig av snabba, effektiva och säkra digitala lösningar för att den nya förvaltningen ska fungera på ett tillfredställande sätt. I många fall kan det vara nödvändigt att använda sig av outsourcing för att knyta till sig den tekniska kompetens som finns bland pri-vata aktörer för att finna, utveckla och integrera dessa lösningar i myndighetens arbete och organisation.
Outsourcing är ett verksamhetsorganisatoriskt begrepp som enkelt sammanfattat innebär att en aktör, en myndighet eller ett företag, anlitar en utomstående underleverantör för att utföra en viss aktivitet inom ramen för beställarens verksamhet. Genom att vissa arbetsmoment ut-förs av en utomstående aktör som specialiserar sig på sådana tjänster som efterfrågas kan ef-fektivitetsvinster uppnås i beställarens verksamhet.2
Vissa problem finns dock avseende brukande av denna verksamhetsform inom den offentliga förvaltningen. Dessa problem är hänförlig myndighetens funktion och de intressen myndighe-ten har att tillvarata. Samtidigt som myndigheterna bedriver viss verksamhet har de exempel-vis att beakta enskildas behov av integritet samt regleringen om sekretess. Varken direkt till-lämplig lagstiftning inom sekretess och personuppgiftshantering eller lagstiftningens motiv är dock vägledande i frågan om hur outsourcing ska hanteras när uppgifterna som kommer vara föremål för behandling vid en outsourcing är sekretessreglerade enligt offentlighets- och sek-retesslagen (2009:400) [Cit. OSL]. I motiven till den numera upphävda seksek-retesslagen (1980:100) [Cit. SekrL] återfinns dock ett uttalande av relevans för frågan. Detta uttalande avser situationen då en underleverantör anlitas för att behandla fysiska utskrifter av handling-ar som till innehållet vhandling-ar belagda med sekretess. Den gamla sekretesslagens motiv ställde i dylika fall upp krav på att underleverantörens anställda var tvungna att underteckna särskilda
1 Andréasson, s. 4-9.
6
avtal om tystnadsplikt för att myndighetens begagnande av en underleverantör för hanteringen av uppgifterna skulle anses förenlig med sekretesslagens bestämmelser.3
Den 8 juni 2011 inkom en anmälan till Justitieombudsmannen (JO) som begärde att en granskning skulle företas mot vårdgivare i Västra Götalands region. Detta till följd av att vårdgivaren ingått avtal om outsourcing med en privat underleverantör som innebar behand-ling av sekretessreglerade journaluppgifter om patienter för vårdgivarens räkning. Anmälaren ifrågasatte även hur vårdgivarna kunde garantera att de berörda uppgifterna inte skulle röjas för någon som inte var behörig att ta del av dessa.
I beslutet som JO meddelade den 9 september 2014 riktades skarp kritik mot vårdgivare i Västra Götalands region samt Stockholms läns landsting för deras hantering av frågan om sekretess. JO fastslog i beslutet att underleverantörens anställda inte omfattades av samma tystnadsplikt som vårdgivarens anställda. Det tjänsteansvar som omfattade underleverantörens anställda kunde inte anses jämställt med det straffansvar som vårdgivarens anställda kunde ställas inför vid ett röjande av de sekretessreglerade uppgifterna. JO fann att följden vid brott mot avtal om tystnadsplikt inte heller kunde anses vara tillräckligt ingripande för att den skul-le kunna jämställas sanktionen vid brott mot sekretesslagstiftningen. Avslutningsvis anförde JO att det var anmärkningsvärt att vårdgivarna inte ägnat frågan större reflektion vid avtalets ingående med underleverantören.4
Till följd av JO:s beslut tillsattes en utredning inom arbetsgruppen E-delegationen. Utred-ningens uppdrag var att närmare se över möjligheterna till outsourcing i de fall uppgifterna som underleverantören har att behandla enligt avtal är reglerade med sekretess.
E-delegationen publicerade sina slutsatser den 19 mars 2015 i förstudien Sekretess vid outsour-cing. E-delegationen konstaterade att rättsläget är fortsatt oklart beträffande vilka möjligheter som finns till utlämnande av sekretessreglerade uppgifter till en underleverantör och utpekar ett antal förslag till lösningar samtidigt som några författningsändringar inte rekommendera-des.5 Hur den närmare utformningen av myndighetens outsourcingavtal ska se ut vid dylika situationer som i JO:s granskningsärende är därför även i dagsläget fortsatt oklart.
1.2. Syfte och avgränsningar
Den här studiens primära syfte är att utreda och fastställa gällande rätt beträffande de nedan presenterade frågeställningarna. Studien kommer att utreda huruvida det är förenligt med det existerande förvaltningsrättsliga regelverket att vid outsourcing av olika typer av offentliga verksamheter tillgängliggöra uppgifter för underleverantörer som är sekretessreglerade hos myndigheten. Studien utgår från JO:s slutsatser i granskningsärendet JO beslut den 9 septem-ber 2014, dnr. 3032-2011 samt den efterföljande förstudien Sekretess vid outsourcing som publicerats av E-delegationen. Ett sekundärt syfte med studien är även att lämna förslag till en allmän kravspecifikation som ska kunna vara vägledande för framtida upphandlingsärenden.
3
Prop. 1981/82:186 s. 41-42.
4 JO beslut den 9 september 2014 dnr: 3032-2011. 5 E-delegationen, Sekretess vid outsourcing – en förstudie.
7
Mot bakgrund av det ovan redovisade presenteras, för tydlighetens skull, följande frågeställ-ningar för studien:
1) Finns förutsättningar för en förvaltningsmyndighet, och i sådant fall med vilken rättslig grund, att genom outsourcing upplåta till en privat underleverantör att ombesörja delar av myndighetens faktiska verksamhet som innebär behandling av sekretessreglerade uppgifter? 2) Besvaras den första frågan jakande; hur ska myndigheter utforma kravspecifikationer vid dylika upphandlingar om outsourcing?
Gällande de avgränsningar som görs i studien ska anföras följande. Den svenska offentliga förvaltningen är av stor omfattning och de sysslor som bedrivs inom ramen för förvaltnings-myndigheternas verksamhet är mycket varierande. På grund av den konstanta utvecklingen tillkommer kontinuerligt nya områden och behov som ska tillgodoses. Den förvaltningsrättsli-ga apparaten innehåller därför en allt för svåröverskådlig mängd författninförvaltningsrättsli-gar för att, i en stu-die av denna storlek, beakta alla tänkbara situationer. Detta till följd av att de tjänster som underleverantörer utför ser olika ut beroende på den upphandling som myndigheten i det ak-tuella fallet avser genomföra. Varje situation måste i realiteten därför bedömas för sig. Äm-nets komplexitet och skiftande karaktär inom de olika delarna av den offentliga förvaltningen manar därför till viss försiktighet att peka ut generella lösningar. Med denna reservation avser studien likväl att på ett principiellt plan ge generella råd i den situationen där frågan aktualise-ras hos myndigheter i syfte att vara vägledande för den kravspecifikation som ska ställas upp hos myndigheten vid framtida upphandlingar.
Studien avgränsar sig vidare till outsourcing av verksamheter hänförliga den offentliga e-förvaltningen. Denna avgränsning motiveras mot bakgrunden av att det framförallt är inom detta område frågan torde ha högst aktualitet och kommer fortsätta att vara relevant framöver. Vidare avgränsar sig studien till sådan outsourcing som avser förvaltningsmyndigheternas faktiska verksamhet. Det är inom detta område som myndigheterna har störst möjlighet att använda sig av outsourcing eftersom det enligt 12 kap. 4 § regeringsformen (1974:152) [Cit. RF] fordras stöd i lag för överlämnande av verksamheter som innebär myndighetsutövning till privaträttsliga subjekt. Det bör även nämnas att gränsdragningen mellan myndighetsutövning, den handläggande verksamheten och faktisk verksamhet inte är helt klar. En del problem kan därför tänkas uppstå vid outsourcing inom dessa gränsområden.6 Ett nära besläktat problem till e-förvaltningen är myndigheters användning av s.k. molntjänster i sin verksamhet. Denna fråga kommer dock inte behandlas inom ramen för denna studie.
Studien avser endast att behandla sekretesskyddet för vuxna personer med rättshandlingsför-måga. Detta på grund av tillkommande komplikationer beträffande sekretesskyddet och rela-tionen mellan vuxna och deras barn. Studien är vidare avgränsad till att behandla den svenska rättsordningen, under den påverkan som Europarätten utövar på rättssystemet. Några ansatser till komparativa undersökningar av frågeställningen kommer inte att göras. Vidare är det en-dast outsourcing till underleverantörer etablerade inom Sverige som kommer behandlas. Out-sourcing till utländska underleverantörer, s.k. offshoring, faller således utanför
8
en. Syftet med uppsatsen är inte heller att utföra en straffrättslig jämförelse mellan olika tänk-bara former av sanktioner till följd av att uppgifter belagda med sekretess röjs, exempelvis brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken (1962:700) [Cit. BrB], trolöshet mot huvudman enligt 10 kap. 5 § BrB etc.
1.3. Metod och material
Studien utgör ett examensarbete inom ramen för juristprogrammet. Av detta följer att det i studiens inledande skede är av vikt att lägga fokus på den av uppsatsförfattaren brukade ar-betsmetoden. Beträffande den juridiska arbetsmetoden i dylika uppsatsarbeten kan i allmänhet anföras följande. Genom att bruka sig av korrekt och konsekvent juridisk metodik ska förfat-taren utifrån studiens syfte identifiera och bearbeta relevant källmaterial och genom rationell juridisk kvalitativ argumentation komma fram till en slutsats av sin studie.7 För att en arbets-metod ska kunna göra några anspråk på ett eftersträvat mått av vetenskaplighet och objektivi-tet är det viktigt att inga tankeled försummas vid granskningen. En studie kan inte anses upp-fylla dessa krav i den mån det finns brister mellan dess material, analys och slutsats.8 Rättsve-tenskapen är ett forskningsområde som på flera sätt skiljer sig från andra. Exempelvis kan rättsvetenskapen i samma stund som den beskriver ett specifikt rättsområde samtidigt påverka dess utveckling och således forma och förändra det utifrån vilka slutsatser som nås.9 Författa-ren kan således i viss utsträckning vara normativ i samma ögonblick som denne är deskriptiv. Ett antal metoder står att välja mellan för en studie av denna omfattning. Beträffande vilken metodik som ska brukas är därför värt att reflektera närmare över. Lämpligt är att den valda metoden samspelar med både studiens syfte samt det material som finns tillgängligt för att bearbeta ämnet på ett för studien relevant sätt. Valet av någon av de rättsvetenskapliga etable-rade metoderna kompliceras dock av att viss begreppsförvirring tycks råda beträffande meto-dernas närmare innehåll.10 För studiens räkning har den metod som inom rättsvetenskapen benämns den rättsdogmatiska metoden använts. Med den rättsdogmatiska metoden avses att utgångspunkten för utredning och analys ska ske genom användande av rationell och neutral juridisk argumentationsteknik samt mot bakgrund av de rättskällor som är relevanta för frågan fastslå gällande rätt.11 Som ovan nämnts är metodens närmare innebörd omtvistad inom den juridiska akademin. Begreppet rättsdogmatik kan framstå som något förvirrande och missvi-sande. Detta eftersom det inom den rättsvetenskapliga akademin och professionen anses råda en fri argumentationsteknik och brist på helt oklanderliga slutsatser. Någonting som skiljer sig från många andra vetenskaper.12 Detta leder vissa forskare till att närmast jämställa den juri-diska metodiken som en slags tolkningslära istället för en vetenskap.13
7
Sandgren, s. 39-43. 8 Heuman, s. 275 ff.
9 Kellgren & Holm, s. 53-55. 10 Kleineman, s. 21-29. 11
Sandgren, s. 43-45.
12 Jfr Nationalencyklopedin (utg.), ”http://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/dogm”, lydelse den 20 mars 2016. Innebörden av termen ”dogm” inbjuder närmast till slutsatsen att något utrymme för alternati-va argumentationstekniker och slutsatser utesluts. Se även Hellner, s. 49 f. Huruvida en argumentation är att anse som rationell är ofta en bedömning som präglas av subjektiva inslag hos bedömaren.
9
Till följd av det ovan nämnda samspelet mellan metod och material samt vikten av att metod-användningen sker korrekt och konsekvent genom studien är det även av värde att presentera det huvudsakliga källmaterial som kommer att användas i studien. Företrädesvis har traditio-nellt juridiskt källmaterial använts för att genomföra studien. Relevant författningstext och dess motiv har bearbetats. Regleringen kring förvaltningsmyndigheternas offentlighet och sekretess är beroende av vilka områden myndigheterna är verksamma inom. Huvudsakligen återfinns den relevanta regleringen i OSL. Lagstiftningens motiv har i svensk rättskällelära en särskild ställning. Dess ställning kan beskrivas som ett krav på beaktande, men inte något absolut lydnadskrav vid lagstiftningens tillämpning. Vid försök att fastställa gällande rätt en-ligt rättsdogmatisk metod är ett intressant spörsmål ur rättsteoretiskt perspektiv att rättstilläm-paren i stor utsträckning använder sig av motiven till den numer upphävda SekrL vid tolkning och tillämpning av den nuvarande sekretessregleringen. Lämpligheten i detta förhållande kan ifrågasättas. Flertalet argument finns både för och mot den generella användningen av motiv till lagstiftningen. Ett särskilt problem vid tillämpning av äldre motivuttalanden, även i de fall någon materiell förändring inte åsyftats med den ersättande lagstiftningen, är att det uppstår särskilda svårigheter vid bedömningen huruvida den, genom tolkning av de äldre motiven, utvunna lösningen är obsolet eller inte.14
Sekretesslagstiftningen är inom området därtill även kompletterad av tryckfrihetsförordningen (1949:105) [Cit. TF], personuppgiftslagen (1998:204) [Cit. PuL] och förvaltningslagen (1986: 223) [Cit. FL] inom ramen för den allmänna förvaltningsrätten. Utöver dessa regleringar finns även kompletterande och preciserande verksamhetsspecifika författningar inom den
spe-ciella förvaltningsrätten som måste beaktas vid varje enskild hantering av frågan.15 Avseende
de verksamhetsspecifika författningarna som befinner sig längre ned i normhierarkin är moti-ven eller annan vägledning tyvärr sällan särskilt utförlig, om ens över huvudtaget tillgängliga för granskning.
Utgångspunkten för studien är en analys av de slutsatser som presenteras i JO:s beslut den 9 september 2014 dnr. 3032-2011 samt de efterföljande offentliga utredningar som finns inom området. Materialet kan dock inte anses tillhöra den traditionella rättskälleläran i strikt be-märkelse.16 Även om utlåtanden från JO och Justitiekanslern (JK) i egenskap av tillsyns- och granskningsmyndighet är av särskild natur, utgör uttalanden och beslut från dessa inte bin-dande rättskällor. Ombudsmännens beslut torde därför istället närmast vara att jämställa med myndighetspraxis. Materialet som utgör utgångspunkten för studien är därmed inte att anse vara normerande eller tillförlitligt i samma utsträckning som traditionella rättskällor.17 Värt att poängtera är dock att beslut från ombudsmännen ändå tillmäts stor betydelse och har stort inflytande på tjänstemännen inom den offentliga förvaltningen eftersom dessa står under
14 Strömholm, s. 359-374. 15
Bohlin & Warnling-Nerep, s. 2 ff. 16 Sandgren, s. 39-40.
10
budsmännens tillsyn, något som är tydligt i de fall frågan inte blir eller har varit föremål för behandling av högre domstolsinstanser.18
Beträffande bristen av ämnets behandling inom de traditionella rättskällorna kan sägas följan-de. En möjlig förklaring till att dylika fall inte blivit föremål för prövning eller avgörande i antingen tingsrätt, förvaltningsdomstol eller högre instans kan tänkas vara att angelägenheten snarare är att betrakta som ett tillsynsärende för JO än för de rättsvårdande instanserna.19 Vi-dare är regleringen av den offentliga förvaltningen omfattande. En möjlig förklaring till varför frågeställningen inte dykt upp i doktrinen ännu är att ämnet är specifikt och att det helt enkelt inte bedömts vara intressant nog att närmare fördjupa sig inom doktrinen. De slutsatser som presenteras av E-delegationen i deras utredning torde dock till stora delar jämställas med doktrin i rättskällevärde. För studiens räkning måste de brukade källorna därför anses själv-klara och relevanta att beakta. Sett till det källmaterial som finns att tillgå för studien, får detta material även anses tillräckligt omfattande för att utredningen ska betraktas vara meningsfull. Till följd av källornas karaktär kan författaren även med viss fördel och genom den rättsdog-matiska metoden granska materialet neutralt, men samtidigt utifrån ett kritiskt förhållningssätt för att uppnå studiens första frågeställning.
Rättsvetenskapliga framställningar tenderar att präglas av en högst teoretisk framställning och beskrivande. För att konkretisera den första frågeställningen i studien och därmed göra studi-en mer lättillgänglig för läsarstudi-en kommer exemplifieringar presstudi-enteras löpande. Till följd av studiens bakgrundsmaterial kommer dessa ske mot sekretessregleringen till förmån för den enskilde inom verksamheten för hälso- och sjukvård enligt 25 kap. OSL samt sådan outsour-cing som var fallet vid JO:s granskningsärende.
1.4. Disposition
För att tillgängliggöra studien och dess ämne för läsaren är det nödvändigt att först bygga upp en förståelse för ämnet och den terminologi som används. Studiens andra kapitel kommer därför behandla den digitala förvaltningens utveckling inom myndigheternas verksamhet samt dess möjligheter och svårigheter. Dessa kopplas även till det tillämpliga förvaltningsrättsliga regelverket. Kapitel tre utgörs av en genomgång av både offentlighets- och sekretesslagens och personuppgiftslagens begrepp relaterat till studiens inriktning. I kapitel fyra redogör för-fattaren för JO:s beslut och analyserar detta i ljuset av tidigare avgöranden från ombudsmän-nen samt övrigt utredningsarbete som skett kring frågan. I studiens femte kapitel redogörs för och analyseras slutsatser som kan dras utifrån utredningarna och de tillgängliga rättskällorna samt problematiserar frågeställningen utifrån de intressen för outsourcing som kan uppstå utifrån e-förvaltningens behov. I studiens avslutande sjätte kapitel kommer en kortare slutre-flektion att göras följt av ett förslag till en kravspecifikation för framtida upphandlingar av dylika tjänster.
18
Bernitz m.fl., s. 141. Se även Weislander, s. 97-99.
19 De avgöranden som tycks berört frågan om utlämnande av sekretessbelagt material till enskilda i fall då det, åtminstone delvis, funnits kommersiella syften tycks varit RÅ 1996 ref. 85.
11
2. E-förvaltningen – möjligheter och utmaningar
2.1. E-Förvaltning och förvaltningsrätten
E-förvaltning är en vidareutveckling av det koncept som tidigare benämnts
24-timmarsmyndigheten. Målsättningen om 24-timmarsmyndigheten innebar att förvaltnings-myndigheterna skulle vara digitalt tillgängliga för medborgarna under hela dygnet. Därige-nom skulle den offentliga förvaltningen uppnå både ökad tillgänglighet och kvalitet i sam-hällsservice.20 Den digitalisering som skett av den offentliga förvaltningen de senaste årtion-dena har utgjort en politisk ambition, innebärande att den offentliga förvaltningen ska bedriva och utföra sina uppgifter genom användande av modern informationsteknologi, IT. På samma sätt medborgarna tidigare manuellt kunnat ta tillvara sina rättigheter och fulltgöra sina skyl-digheter hos förvaltningsmynskyl-digheterna fysiskt, ska medborgarna nu självständigt kunna ut-rätta dessa bestyr genom användningen av myndighetens digitala e-tjänster.21
E-förvaltning omfattar även, utöver det som ovan nämnts, frågeställningar om s.k.
e-demokrati samt e-administration. Till det förra hör frågor kring hur digitala lösningar kan an-vändas för att påverka enskildas möjligheter att delta i samhället och främja den demokratiska utvecklingen. Till det senare hör frågor om hur den interna myndighetsstrukturen och arbets-sättet inom myndigheten utvecklas genom användningen av IT-lösningar.22 Digitaliseringen av den offentliga förvaltningen syftar även till att upprätthålla legitimitet och förtroende hos medborgarna för hur förvaltningen bedrivs. Detta uppställer även krav på samordning mellan myndigheterna. Enskilda ska inte behöva uppleva att arbetssätten, kommunikationsmöjlighe-terna och kvaliteten i arbetet varierar mellan olika myndigheter.23
Utvecklingen av det som idag kallas e-förvaltning i Sverige delas in i generationer. Den första generationens förvaltning infördes redan på 1950-talet. I detta tidiga skede var
e-förvaltningen begränsad till digitalisering av olika registerfunktioner. Genom detta arbete kunde myndighetens produktivitet öka samtidigt som dess kostnader dämpades. Den andra generationens e-förvaltning anses haft sin början i det tidiga 1990-talet. Då datorer och inter-net blev tillgängliga möjliggjordes genomgripande förändringar i myndigheternas arbetssätt. Detta gäller både hur myndighetens anställda kunde arbeta internt och i hur enskilda kunde kommunicera och interagera med myndigheten genom myndighetens hemsidor och dess e-tjänster. I skrivande stund befinner sig Sverige i den tredje generationens e-förvaltning. Den tredje generationens e-förvaltning innebär att privata företag och organisationer med hjälp av offentliga uppgifter kan utveckla och tillhandahålla tjänster som bidrar till enskildas inhämt-ning av information. Exempel på dylika digitala tjänster som idag tillhandahålls av privata aktörer är Hitta.se, Minpension.se samt Ratsit.se. Tredje generationens e-förvaltning går
20 Mattsson, s. 285-286. Se även SOU 2004:65 s. 114-116. 21
Wiberg & Grönlund, s. 255-284. 22 Andréasson, s. 52-56.
12
des ut på att i högre grad involvera både individer och privata företag i den fortsatta utveck-lingen.24
Ambitionen finns även inom ramen för samarbetet inom den Europeiska unionen (EU) att samordna och utveckla standardiserade digitala lösningar för att ge unionsmedborgarna som befinner sig i andra EU-länder ökad tillgång till vistelselandets e-tjänster. Genom projekten ska den fria rörligheten mellan EU:s medlemsländer underlättas. Exempel på ett sådant sam-arbete är användningen av s.k. e-legitimationer.25
Till följd av den i Sverige traditionellt fria roll förvaltningsmyndigheterna har mot varandra och staten finns dock en risk att utvecklingsarbetet utvecklas ojämnt över hela den offentliga förvaltningen. Detta riskerar leda till stagnation i den fortsatta utvecklingen av myndigheter-nas verksamhet. För att nationellt samordna förvaltningsmyndighetermyndigheter-nas användande av IT, utforma gemensamma strategier för myndigheternas framtida e-förvaltning i Sverige samt granska och utreda huruvida det existerande regelverket utgör hinder för den fortsatta utveck-lingen inrättades 2009 en delegation under Näringsdepartementet under benämningen E-delegationen. Delegationens uppdrag var även att utgöra ett stöd för regeringen inom ramen för samarbetet inom EU samt i övrigt i frågor relaterade till delegationens arbetsområde.26 2.2. Möjligheter och problem i den svenska e-förvaltningen
Regeringens övergripande målsättning med e-förvaltningen i detta skede är således att fortsatt förenkla för individer att utöva sina rättigheter respektive fullgöra sina skyldigheter samt kun-na ta del av den offentliga förvaltningens service när och var som helst.27 FL uppställer all-männa riktlinjer för hur den offentliga förvaltningen ska bedrivas. Digitaliseringen av myn-dighetens verksamhet har medfört att mynmyn-dighetens möjligheter att uppnå målsättningarna i FL ökat kraftigt.28 Enligt lagens 4-5 §§ fastställs att förvaltningsmyndigheterna har en allmän serviceskyldighet mot enskilda och att enskilda dessutom ska vara garanterade tillgänglighet till myndigheten. Myndigheterna kan genom sina hemsidor på internet publicera en omfattan-de mängd information och därigenom vägleda samt anvisa enskilda i särskilda frågor inom ramen för myndigheternas verksamheter. Ett exempel på lagens utveckling efter den tekniska utvecklingen är att 5 § FL ändrades efter lagens tillkomst för att tillgodose enskildas möjlighet att kommunicera med myndigheten genom exempelvis e-post.29 Dessa regler är generella och åtgärderna ska tillämpas av förvaltningsmyndigheten i hela dess verksamhet och oavsett hu-ruvida verksamheten knyter an till något konkret ärende eller inte. Vidare framgår av lagens 7 § ett krav på snabb handläggning av de ärenden myndigheten har att avgöra samt att myndig-heten kontinuerligt ska vidta åtgärder för att underlätta för den enskilde att ha kontakt med myndigheten i ärenden som berör denne. Genom användande av särskilda e-tjänster kan en-skilda exempelvis kontrollera status på ett givet ärende hos myndigheten vid vilken tid på
24 SOU 2009:86 s. 33-38. 25
Se Europeiska kommissionen (utg.), ”http://ec.europa.eu/digital-agenda/digital-agenda-europe”, lydelse den 20 mars 2016. Se även SOU 2009:86 s. 93-97.
26 Regeringskansliet - Delegation för e-förvaltning. 27
Regeringskansliet - IT i människans tjänst – en digital agenda för Sverige s. 6-11. 28 Andréasson, s. 4 ff.
13
dygnet som passar den enskilde.30 Omställningen till en digitaliserad myndighetsstruktur med-för dock att flera med-förvaltningsrättsliga frågor väcks om hur myndigheterna ska agera med-för att tillmötesgå kraven enligt den allmänna förvaltningsrätten samt kraven på modernisering och utveckling av verksamheten.31
Sverige tillhör ett av de länder i världen vars offentliga förvaltning är bland de mest väl orga-niserade och utvecklade. Verksamheten som bedrivs är väldigt omväxlande och kräver därför ett stort mått av flexibilitet i de övergripande regelverken och den ledande strukturen. För att bibehålla denna höga standard krävs även att förvaltningsmyndigheterna kontinuerligt analy-serar och utvärderar sin verksamhet och organisation. En ökad kvalitet och produktivitet i den offentliga förvaltningen har varit, och fortsätter vara, ett stort fokus.32 Den snabba tekniska utvecklingen innebär möjligheter. Myndigheter som är tillgängliga i samma relevanta forum som de enskilda, har betydligt bättre möjligheter att bedriva relevant informationsarbete, sam-hällsservice etc. inom ramen för sina respektive verksamheter. Digitaliseringen av den offent-liga verksamheten kan därför i många fall sägas underlätta myndigheternas strävan mot verk-samhetens överensstämmelse med de målsättningar som fastställs i bl.a. FL.
Målsättningen är även att statens resurser ska användas på ett ändamålsenligt sätt. Krav på effektiv förvaltning och ett effektivt brukande av statsbudgeten finns i lagen om statsbudgeten (1996:1059), något som ställer krav på myndigheternas ekonomiska resultat. Genom att an-vända sig av digitala lösningar kan betydande resursbesparingar och effektivitetsvinster ske inom ramen för myndigheternas verksamhet.33 Med en stor offentlig förvaltning och höga kvalitetsmål följer dock en svårighet och kostnad avseende omställning av verksamheten och anpassning efter IT-samhället och för att hålla myndighetens system uppdaterade. Kritik som bemöter digitaliseringen av den offentliga förvaltningen menar att den främst frammanats av miljö- och näringspolitiska incitament. Digitaliseringen av verksamheten anses av kritiker vara kostsam, osäker att använda, göra myndigheterna beroende av expertkompetens för att över huvudtaget kunna fungera samt exkluderande för de samhällsgrupper som saknar resur-ser att tillgodogöra sig av den tekniska utvecklingen.34 Med hänsyn till att den svenska be-folkningen blir allt äldre samt den betydande invandringen till Sverige de senaste åren är frå-gor om tillgänglighet och exklusion i samhällsservice i högsta grad relevanta i takt med att förvaltningsmyndigheter väljer att lägga ner fler lokala servicekontor.35 Dessa omständigheter medför att myndigheterna blir mindre tillgängliga för vissa befolkningsgrupper. Samtidigt
30 Ett exempel på en dylik tjänst är Transportstyrelsens ursprungskontroll av importerade fordon, se Transport-styrelsen (utg.) ”https://ukstatus.transportTransport-styrelsen.se/extweb/ukstatus?epslanguage=sv”, lydelse den 20 mars 2016.
31
Pettersson, s. 79-89. 32 Prop. 2009/10:175 s. 87. 33 Grönlund, s. 27-31.
34 Mattsson, s. 255. Se även Riksrevisionen, IT inom statsförvaltningen. Här fastslås att kostnaderna för statliga bolag och förvaltningsmyndigheterna som är hänförlig dessa aktörers användning av olika former av IT kostar varje år mellan 20-25 miljarder kronor.
35 Se SCB (utg.), ”http://www.scb.se/sv_/Hitta-statistik/Artiklar/Medellivslangden-okar-stadigt/”, lydelse den 20 mars 2016 , Migrationsverket (utg.), ”http://www.migrationsverket.se/Om-Migrationsverket/Statistik.html”, lydelse den 20 mars 2016, & DN (utg.),
14
som digitaliseringen av den offentliga verksamheten skapar nya arbetstillfällen inom detta område innebär den samtidigt att existerande, och i vissa fall enklare, sysselsättningar inom den offentliga förvaltningen ersätts med digitala e-tjänster och e-service vilket kan påverka situationen på arbetsmarknaden för lågutbildade och mindre omställningsvänliga grupper. Digitaliseringen och automatiseringen av verksamheten medför även att vissa förvaltnings-rättsliga frågeställningar väckts, bl.a. om hur en myndighet agerar mot omvärlden genom digi-tala medier samt hur myndighetens beslutsfattande tar sin form och expedieras i förhållande till myndigheternas allmänna information.36
Kritik har avslutningsvis även riktats mot det sätt som den tredje generationens e-förvaltning växt fram och vilka konsekvenser detta kan få för vissa enskilda. Tredje generationens e-förvaltning har möjliggjort ytterligare ett steg av offentlighetsprincipen eftersom privata kommersiella aktörer kunnat tillgängliggöra en omfattande mängd offentlig information avse-ende enskilda. Ett tydligt exempel på detta är den debatt som följt e-tjänsten Lexbase.se där användare av tjänsten anonymt bl.a. kan ta del av domar i brott- och tvistemål. Kring denna e-tjänst har debatterats hur principen om offentlighet och yttrandefrihet på internet bör förhålla sig mot enskildas behov av skydd för den personliga integriteten.37
2.3. Outsourcing
Tredje generationens e-förvaltning syftar således dels till fortsatt effektivisering av befintliga verksamheter och dels engagerande av enskilda för att utveckla nya e-tjänster. Den fortsatta tekniska utvecklingen ställer dock även krav på effektivisering av myndighetens interna struk-tur och arbetssätt. Effektivisering av verksamheter kan ske på flera olika sätt. Ett exempel på sätt att effektivisera en verksamhet är genom att denna, eller delar av den, istället utförs av en underleverantör eller att en aktör köper in en verksamhet som utvecklas till beställarens verk-samhet. Det som beskrivs här är olika typer av outsourcing.38
En outsourcing kan se mycket olika ut beroende av vilket behov som finns hos beställaren. Det är inte heller nödvändigt att den berörda verksamheten är av någon kvalificerad art. I de fall den verksamhet som ska blir föremål för outsourcing utgör myndighetsutövning uppställs dock ett krav enligt 12 kap. 4 § RF på stöd i lag för att sådan outsourcing ska vara tillåten. Begreppet myndighetsutövning definieras enligt den äldre förvaltningslagen (1971:290) som en befogenhet för myndigheten att med bindande verkan besluta i ärende som rör den enskilde om gynnande eller betungande beslut.39 Exempel på sådan myndighetsutövning som idag be-drivs av privata aktörer är besiktning av fordon enligt 4 kap. fordonslagen (2002:574). Förfa-randet utgör således ingen ovanlighet för det allmänna att bruka sig av. Sedan tidigare har förfarandet benämnts offentlig verksamhet genom enskild.40
36 Ragnemalm, s. 445-457. 37
Angående denna debatt se bl.a. JK beslut den 26 mars 2014, dnr. 699-14-31 om att inte inleda förundersökning för yttrandefrihetsbrott eller förtal. Se även dom i Stockholms tingsrätt mål meddelad 10 april 2015 nr. B 1560-14 och B 5303-1560-14 om bl.a. förtal.
38
Augustson & Bergstedt-Sten, s. 13-15. 39 Bohlin & Warnling-Nerep, s. 62-66. 40 Bramstång, s. 214-229.
15
Till följd av det grundlagstadgade kravet på stöd i lag vid myndighetsutövning är det svårare att bedriva sådan verksamhet på ett flexibelt sätt. Förvaltningsmyndigheternas faktiska verk-samhet är dock betydligt mer flexibel i detta avseende. Beträffande myndigheternas faktiska verksamhet åsyftas med detta uttryck det faktiska handlande som förvaltningsmyndigheten bedriver vid sidan om myndighetsutövningen. Exempel på sådan verksamhet som är att hän-föra till denna kategori är myndigheternas allmänna informerande verksamhet, högskolornas undervisande verksamhet samt polismyndighetens patrullerande verksamhet. Av verksamhe-tens enklare karaktär följer även att det ställs generellt lägre krav på myndigheverksamhe-tens handlägg-ning i de fall verksamheten inte utgör myndighetsutövhandlägg-ning. Som ovan nämnt (avsnitt 1.2.) är skiljelinjen mellan en myndighets faktiska verksamhet och dess myndighetsutövning inte helt klarlagd och ett flertal gränsdragningsproblem kan därför tänkas uppstå. JO har i tidigare granskningsärenden rörande definitionen av myndighetsutövning fastslagit att begreppet tar sikte på hela den handläggande processen, från det att ett ärende anhängiggörs, fram till ett beslut fattats i ärendet. Enligt JO bör därför handläggningen och beredningen av ett ärende betraktas som en del som inte går att särskilja från myndighetsutövningen.41 På grund av detta förhållande torde det manas till viss försiktighet vid överväganden om outsourcing beträffan-de sådana verksamheter som kan bedömas befinna sig i gränslanbeträffan-det mellan en myndighets ärendehandläggning och dess faktiska verksamhet.42
I enlighet med regeringens riktlinjer tillämpar förvaltningsmyndigheterna till stor del idag outsourcing för att bedriva vissa verksamheter.43 De verksamhetskategorier som många gång-er idag är föremål för outsourcing hos förvaltningsmyndighetgång-erna och som dessutom är knut-na till myndigheterknut-nas e-förvaltning är 1) drift, underhållsarbete och förvaltning av IT-system, 2) särskilda stödtjänster för anpassning av systemutveckling, teknisk bearbetning eller olika former av hjälptjänster, 3) utveckling av tekniska lösningar för att underlätta myndighetens verksamhet, 4) elektronisk kommunikation inom och från myndigheten samt 5) dokumenthan-tering exempelvis i form av scanning av fysiska handlingar, tryck- och utskickstjänster etc.44 Ett flertal fördelar finns med att låta en underleverantör utföra vissa delar av den offentliga verksamheten. Bland dessa är att den offentliga förvaltningen, som ovan nämnt, på ett effek-tivt sätt får tillgång till den tekniska utvecklingen och kompetens som finns på den privata marknaden för att kunna bedriva en effektivare samhällsservice. Vid outsourcing torde upp-dragen även kunna vara behovsstyrda. Detta innebär att myndigheten har större möjlighet att erhålla sådan flexibel spetskompetens. Genom att bedriva vissa verksamheter genom outsour-cing kan myndigheten ofta sänka sina kostnader i förhållande till om denne bedrivit verksam-heten själv.45
Argumentet för att tillämpa outsourcing är således ofta hänförligt till effektivitetsvinster inom verksamheten samt ekonomiska vinster. Dessa vinster bör dock även vägas mot de övriga
41
JO 2001/02 s. 250.
42 Bohlin & Warnling-Nerep, s.13-14 och 61-66. För fördjupad läsning se även Scheutz, s. 317-335 och Höök 2013, s. 177-185.
43
Prop. 2009/10:175 s. 90.
44 E-delegationen, Sekretess vid outsourcing – en förstudie, s. 25-31. 45 Augustson & Bergstedt-Sten, s. 32-40.
16
intressen myndigheten har att tillvarata. Eftersom verksamheten i dessa fall kommer att bedri-vas genom sådana privaträttsliga aktörer som inte utgör förvaltningsmyndigheter betyder det-ta, med vissa särskilt reglerade undantag, att stora delar av det förvaltningsrättsliga regelver-ket inte behöver tillämpas.46 Det finns flertalet risker som är förenade med outsourcing av driften av offentliga funktioner som är relevanta att beakta för studiens räkning. Ett tydligt exempel på en sådan frågeställning är frågan om sekretess. Genom att myndigheten upplåter viss verksamhet till en underleverantör riskerar myndigheten även att förlora viss kontroll över hur verksamheten faktiskt bedrivs och hur uppgifterna hanteras. Det är även svårare för både gemene man samt olika tillsynsorgan att få inblick i hur verksamheten bedrivs eftersom det i praktiken inte finns samma faktiska tillträde till den plats där verksamheten utövas. Det finns således risker kopplade till att uppgifter av känslig natur riskerar röjas till utomstå-ende i de fall det är nödvändigt för den planerade verksamheten att uppgifterna tillgängliggörs för underleverantören. Aktuell kritik mot e-förvaltningen och dess användande av outsourcing har riktats av Säkerhetspolisen (SÄPO). I de fall outsourcing av myndigheters IT-drift sker kan underleverantörer utpekas som särskilda måltavlor för elektroniskt spionage och andra attacker.47 Det ovan anförda uppmanar även till rättspolitisk diskussion och debatt kring vilka funktioner som det allmänna bör bedriva samt vilka funktioner som kan bedrivas genom pri-vata kommersiella aktörer och i sådant fall i vilken omfattning.48 Förutsättningarna ser dock mycket olika ut beroende av vilken verksamhet en outsourcing gäller, vilka uppgifter som kommer överlämnas till den utomstående samt hur uppgifterna kommer behandlas. Med beak-tande av det allmänna kravet på enskildas rättssäkerhet och behovet av transparens i den of-fentliga verksamheten kan således generellt ifrågasättas huruvida det är möjligt att kontrollera att uppgifterna hanteras på ett korrekt sätt hos underleverantören.
46 Bohlin & Warnling-Nerep, s. 29-32. 47
SÄPO, Säkerhetspolisens årsbok 2015, 22-23.
48 Inom ramen för socialtjänstens verksamhet, dock endast i begränsad mån i förhållande till sekretesslagstift-ningen, har frågan diskuterats redan i Bramstång, FT 1988 s. 214-229.
17
3. Frågan om offentlighet, sekretess och personuppgiftsbehandling
Utöver de ovan berörda förvaltningsrättsliga principerna bedrivs den offentliga förvaltningen med beaktande av vissa allmänna värdegrunder som fastställs i rikets grundlagar. Statens grundläggande mål är enligt 1 kap. 2 § RF att inom ramen för den offentliga förvaltningen värna om enskildas personliga välfärd samt att verka för den enskildes trygghet. Den enskilde ska enligt 2 kap. 6 § RF samt artikel 8 Europakonventionen (EKMR) vara skyddad mot bety-dande intrång i den personliga integriteten som sker utan samtycke. Därmed ska det vara tyd-ligt reglerat i lag i vilken utsträckning och i vilka syften som uppgifter hänförliga till den en-skilde får behandlas av det allmänna.49 Bestämmelsen är tänkt att vara teknikneutral och dess tillämpningsområde påverkas därmed av den tekniska utvecklingen.50 Inom den offentliga förvaltningen uppställs vidare krav på objektivitet, saklighet och rättssäkerhet i verksamheten enligt 1 kap. 9 § RF. Dessa värdegrunder bidrar till att legitimera den offentliga verksamheten hos medborgarna. I den mån dessa värdegrunder inte uppfylls i verksamheten riskerar tilliten till det allmänna att urholkas.51
3.1. Offentlighetsprincipen
Huvudregeln inom den offentliga förvaltningen är att handlingsoffentlighet och transparens ska råda i enlighet med offentlighetsprincipen. I svensk rätt har principen sitt ursprung i den första TF från 1766 och kan beskrivas innebära gemene mans tillgång till de allmänna hand-lingar som myndigheterna har i sitt förvar.52 Traditionella fysiska handlingar anses förvarade hos en myndighet antingen då dessa inkommer till myndigheten eller då de upprättas av myn-digheten enligt 2 kap. 3 § TF. Beträffande elektroniska handlingar anses enligt lagrummets 3 st. dessa inkomna till myndigheten i den stund de gjorts tillgängliga för myndigheten. Även privaträttsliga subjekt kan omfattas av lagens tillämpningsområde i de fall de hanterar vissa frågor inom ramen för sin verksamhet eller i de fall kommun eller landsting utövar rättsligt bestämmande inflytande över dessa enligt 2 kap. 3-5 §§ OSL.
Principen syftar enligt 2 kap. 1 § TF ”till främjande av ett fritt meningsutbyte och allsidig upplysning”. I TF:s motiv utvecklas principens ändamål till att även tillgodose rättssäkerheten i enskilda ärenden, effektiviteten inom den offentliga förvaltningen samt till att vara ett effek-tivt demokratiskt instrument. Något utvecklat innebär detta att principen syftar till att möjlig-göra för både media och gemene man att granska den offentliga verksamheten och därmed utgöra en demokratisk bevakningsfunktion mot maktmissbruk och korruption. Myndigheter-nas handlingar kan dessutom utgöra en viktig källa till information för att berika samhällsde-batten såväl som den politiska desamhällsde-batten kring olika aktuella frågor.53 Tilläggas kan även att principen underlättar den fortsatta utvecklingen av tredje generationens e-förvaltning. Undantag från offentlighetsprincipen regleras i 2 kap. 2 § TF. Enligt regeln får uppgifter be-läggas med sekretess endast då medgivande till det finns i lag och då endast i de fall det
49 Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. 50 Eka m.fl., kommentaren till 2 kap. 6 § RF.
51
Andréasson, s. 25-45. 52 Bohlin, s. 18-20.
18
ras för att värna de skyddsvärda intressen som angetts i en uttömmande uppräkning bland de s.k. sekretessgrunderna i 2 kap. 2 § TF. Härigenom kan utläsas att till följd av sekretessregler-nas karaktär som undantagsregel bör denna möjlighet tillämpas restriktivt.
3.2. Sekretesslagstiftningen
Den lagstiftning som primärt reglerar frågan om uppgifters sekretess är OSL. Den nuvarande lagstiftningen tillkom för att göra sekretessregleringen mer överskådlig samt förenkla tillämp-ningen av den vid tidpunkten rådande sekretesslagstifttillämp-ningen. Någon större materiell skillnad från den gamla SekrL avsågs dock inte, vilket medför att material hänförligt till den äldre lag-stiftningen anses ha fortsatt relevans även idag i den mån det inte skett något materiell föränd-ring av lagstiftningen i OSL.54 OSL utgör således den generella lagstiftningen för rättsområ-det. Beroende av vilka uppgifter som förvaltningsmyndigheter behandlar kan dock ytterligare författningar tillkomma. Vid behandling av personuppgifter blir exempelvis även regleringen i PuL tillämplig för hanteringen.
Terminologiskt ska inledningsvis klargöras att i de fall en uppgift är sekretessreglerad innebär detta att det finns en bestämmelse om sekretess för uppgiften. Att uppgiften har en sekretess-reglering utgör dock i sig inte ett absolut hinder mot att uppgiften lämnas ut. När det istället talas om att en uppgift är sekretessbelagd avses en uppgift som i ett konkret fall bedömts före-ligga sekretess för och som därigenom omfattas av ett förbud mot att lämna ut uppgiften.55 Beträffande sekretessregleringens struktur kan även klargöras att det handlar om uppgifter i handlingar som sekretessregleras, inte handlingarna som sådana.
Att uppgifter är reglerade med sekretess innebär enligt 1 kap. 1 § OSL ett förbud att lämna ut uppgifterna utan särskild sekretessprövning. Lagstiftningen innehåller både regler om sekre-tess av uppgifter i allmänna handlingar samt om tystnadsplikt för myndighetens anställda och utgör således en begränsning av både TF samt yttrandefrihetsgrundlagen (1991:1469) [Cit. YGL]. Vad som avses med lagens röjandeförbud är enligt 8 kap. 1-2 §§ OSL ett förbud mot avslöjande av uppgifter till utomstående individ, andra myndigheter samt, i de fall myndighe-tens struktur utgörs av självständiga verksamhetsgrenar, annan verksamhetsgren inom samma myndighet.56 Att den obehörige faktiskt tagit del av uppgiften i samband med detta utgör dock inget hinder mot att uppgiften ska anses röjd. Det anses tillräckligt att det med hänsyn till om-ständigheterna i det enskilda fallet sannolikt kan räknas med att obehörig tagit del av uppgif-ten.57 Anledningen till att det även, dock med omfattande undantag, är förbjudet för myndig-heter att dela sekretessreglerade uppgifter mellan sig motiveras i hög utsträckning av den en-skildes intresse av att känsliga uppgifter endast ges begränsad spridning.58 Att motverka spridningen av exempelvis personuppgifter är även i överensstämmande med den s.k. finali-tetsprincipen enligt PuL (se nedan i avsnitt 3.4.). Angående sådan sekretess som gäller mellan olika verksamhetsgrenar finns även sekretessregler som innebär att endast de som deltar i
54 Lenberg m.fl., s. 10-11.
55 Lenberg m.fl., s. 16. Jfr även 3 kap. 1 § OSL. 56
Holstad, s. 57-58. 57 NJA 1991 s. 103. 58 Höök, s. 7-11.
19
handläggningen av ett specifikt ärende är behöriga att ta del av uppgifter i det ärendet. Inom hälso- och sjukvårdslagstiftningen finns sådan s.k. inre sekretess enligt 4 kap. 1 § patientdata-lagen (1998:204) [Cit. PdL].
I de fall myndigheter överför uppgifter mellan sig som omfattas av sekretessreglering hos ursprungsmyndigheten finns ofta regler om överföring av sekretess som innebär att uppgiften även är sekretessreglerad hos den mottagande myndigheten. I de fall dylika regler inte finns är dock huvudregeln enligt 7 kap. 2 § OSL att uppgiften inte är sekretessreglerad hos den motta-gande myndigheten. Detta förhållande motiveras av att intresseavvägningen mellan offentlig-het och sekretess utfaller olika i olika delar av förvaltningen. I vissa fall är det därför motive-rat med insyn i uppgifter rörande vissa typer av ärenden som är reglerade med sekretess i dess ursprungliga ärende.59 Enligt 7 kap. 1 § OSL uppställs vidare förbud för myndighetens an-ställda att utnyttja uppgifter utanför den verksamheten där uppgiften är sekretessreglerad. Brott mot tystnadsplikten för myndighetens företrädare är generellt straffsanktionerat enligt 20 kap. 3 § BrB samt enligt andra brottsrubriceringar i de fall de är tillämpliga, exempelvis spioneri enligt 19 kap. 5 § BrB. Till brott mot tystnadsplikten kan även dömas den som av sådan oaktsamhet som inte kan anses ringa röjt sekretessbelagda uppgifter. Många gånger tycks dock ansvar inte utkrävas vid rena felbedömningar eftersom det ofta tycks röra sig om gränsfall.60
I enlighet med offentlighetsprincipen är målsättningen att sekretessen aldrig ska sträckas läng-re än det som är nödvändigt för att värna det intläng-resse som bestämmelsen avser skydda. Den individuella sekretessregelns omfattning och styrka bestäms av bestämmelsens innehåll samt dess skaderekvisit. Angående det förra är det vanligt att det anges att uppgifter hänförliga till viss typ av verksamhet eller typer av ärenden hos en särskild myndighet är sekretessreglerad. Beträffande det senare är det brukligt att skilja mellan regler med s.k. raka eller omvända ska-derekvisit samt regler med absolut sekretess. Raka skaska-derekvisit medför en svagare form av sekretess, ofta innebärande en presumtion för att uppgiften kan lämnas ut. Det raka skaderek-visitet kännetecknas av formuleringen: ”sekretess gäller för uppgift som rör X om det kan
antas att skada uppkommer om uppgiften röjs”.61 Vid omvänt skaderekvisit råder istället en
presumtion för att uppgiften inte kan lämnas ut. Vid denna bedömning måste det konstateras att det med hög sannolikhet är ofarligt att lämna ut uppgiften. Dessa kännetecknas då av for-muleringen: ”sekretess gäller för uppgift som hänför sig till X, om det inte står klart att
upp-giften kan röjas utan att viss skada uppkommer”.62 Till sist finns det även en reglering med
absolut sekretess, innebärande att uppgifterna som omfattas av sekretessen inte får lämnas ut om det inte finns stöd för detta i en sekretessbrytande bestämmelse. Denna form av sekretess kännetecknas av att det inte uppställs något skaderekvisit i sekretessregleringen.63
59 Prop. 1979/80:2 del A s. 75-78. 60 Holstad, s. 36.
61
Jfr exempelvis OSL 15 kap. 1 §. 62 Jfr exempelvis OSL 18 kap. 2 §. 63 Holstad, s. 26-28.
20
Utifrån skaderekvisiten utförs en s.k. sekretessprövning. Sekretessprövningen utgår ifrån den skaderisk som generellt anses förknippad med uppgiften som sådan, huruvida uppgiften är sekretessreglerad hos mottagaren samt ifrån en bedömning av hur mottagaren kommer att hantera uppgiften. Beträffande de två senare bedömningarna är vetskapen om mottagarens identitet avgörande för myndighetens prövning av huruvida det är sannolikt att uppgifterna kommer spridas vidare.64 Ett sätt att motverka att ett utlämnande av uppgifter innebär skada för den som berörs av uppgiften är att myndigheter, i den mån det i det enskilda fallet är möj-ligt, kan avidentifiera uppgifterna. Avgörande för huruvida detta förfarande är möjligt är hu-ruvida uppgiften fortfarande kan sammankopplas med den enskilde som uppgifterna avser.65 I doktrinen har även framfört att andra förhållanden bör kunna användas vid en bedömning av sekretessregleringens styrka. Faktorer som bör anses relevanta är bland annat hur vid sekre-tessregleringen är samt hur lång tid sekretess är reglerad för uppgiften.66
Den krets som har att iaktta sekretessen är enligt 2 kap. 1 § OSL myndigheter, andra organ som är att jämställa med myndigheter samt företrädare för dessa. Beträffande organ jämställda med myndigheter avses både statliga och kommunala organ. Bland dessa inkluderas även de rättstillämpande myndigheterna, domstolarna samt regeringen. Även riksdagen och beslutan-de kommunala församlingar är enligt 2 kap. 2 § OSL att jämställa med myndigheter vid la-gens tillämpning. Bland gruppen företrädare räknas, utöver myndighetens anställda, endast fysiska personer som är uppdragstagare eller som har annan liknande anknytning till myndig-heten. Denna tystnadsplikt gäller även efter att personen avslutat sin tjänst eller sitt uppdrag hos myndigheten. Personer anställda hos ett privat företag som utför vissa arbetsuppgifter för myndighetens räkning, genom exempelvis outsourcing från myndigheten, anses dock i regel inte omfattas av personkretsen enligt OSL.67 I vissa fall kan dock myndigheten knyta till sig exempelvis särskild expertkompetens från privaträttsliga subjekt enligt motivuttalanden till SekrL. Det fordras dock att det rör sig om specifika arbetstagare som ställs till myndighetens förfogande på ett sätt som medför att underleverantörens anställda hamnar i en jämförbar situ-ation som en självständig uppdragstagare och därigenom indirekt kan inräknas i den person-krets som uppställs i 2 kap. 1 § OSL.68 Tystnadsplikter för privata aktörer kan även följa ge-nom andra författningar än OSL. Exempel på verksamheter där det föreligger sådan tystnads-plikt finns inom hälso- och sjukvården för privata vårdgivare i 1 kap. 4 § samt 6 kap. 12 § patientsäkerhetslagen (2010:659) [Cit. PsL].
3.3. Sekretessbrytande bestämmelser
Som ovan anförts utgör sekretess ett generellt hinder mot utlämnande av sekretessreglerade uppgifter från myndigheten. I många fall torde det utgöra ett stort problem om myndigheter inte kunde utbyta information med varandra eller med enskilda. Det finns därför särskilda undantagsbestämmelser från sekretessreglerna i OSL som medger utlämnande av uppgifter i vissa fall. De sekretessbrytande bestämmelser som kan tillämpas mot privata rättssubjekt är
64 Holstad, s. 24-25. 65 Prop. 1979/80:2 del A s. 84. 66 Ekeroth, s. 452-454. 67 Holstad, s. 20-25. 68 Prop. 1981/82:186, s. 41 f.
21
därför relevanta att granska huruvida de kan tillämpas vid sådana förfaranden som outsour-cing utgör. Varje tillämpning av en sekretessbrytande bestämmelse måste dock alltid föregås av en särskild lämplighetsbedömning, vid vilken berörda intressen vägs mot varandra. Inledningsvis kan konstateras att huvudregeln enligt 12 kap. 1 § OSL rörande sådan sekretess som är tillkommen för att skydda den enskildes personliga integritet inte gäller i förhållande till den berörde själv. Undantag finns dock från regeln. Enligt 25 kap. 6 § OSL föreligger sek-retess mot den enskilde om det med hänsyn till vårdens eller behandlingens ändamål är av synnerlig vikt att uppgiften inte lämnas till den enskilde. Den enskilde förfogar även till stor del själv över huruvida denne önskar upprätthålla sekretess kring uppgifter hänförliga till sig själv. Med ett giltigt samtycke från den berörde får uppgifterna således lämnas ut till utomstå-ende enligt 10 kap. 1 § OSL.
Flera sekretessbrytande bestämmelser återfinns i OSL:s individuella kapitel och är då hänför-liga till uppgifter av det slag som behandlas i dessa kapitel. I 10 kap. OSL finns generella sek-retessbrytande regler. Dessa är ofta tillämpliga då intresset för ett utlämnande av uppgifter anses större än det intresse som sekretessen är avsedd att skydda.69 Vid överväganden om tillämpningen av sekretessbrytande bestämmelser torde denna avvägning alltid behöva göras i det enskilda fallet. Merparten av grunderna i 10 kap. OSL är dock endast tillämpliga i de fall utlämnande av uppgifterna ska ske till andra myndigheter. Således är endast ett fåtal regler tillämpliga på de fall myndigheten önskar överföra uppgifter till enskilda. Med begreppet en-skild avses enligt lagen både fysiska och juridiska personer.70
3.3.1. Nödvändigt utlämnande
Enligt 10 kap. 2 § OSL är det tillåtet för myndigheter att lämna ut sekretessbelagda uppgifter i de fall förfarandet är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet. Re-geln motsvarar 1 kap. 5 § i den gamla SekrL. Enligt lagstiftningens motiv ska reRe-geln tillämpas restriktivt och endast i de fall det utgör en nödvändig förutsättning för att myndigheten ska kunna fullgöra sina uppgifter. Av detta följer att det endast är behoven vid den utlämnande myndigheten som kan ligga till grund för tillämpning av bestämmelsen. Myndigheten får inte heller enligt lagstiftningens motiv väga intresset av sekretesskyddets upprätthållande mot rena effektivitetsvinster i myndighetens verksamhet.71 Regeln medger således ett generellt utläm-nande av sekretessreglerade uppgifter.72 Mot bakgrund av den praxis som tillkommit efter regelns införande framstår regeln dock som svårtillämpad.73 Exempel finns även på sådan tillämpning av stadgandet som inte kritiserats av JO där utlämnandet skett, dock till en annan myndighet, med hänsyn till liv och hälsa och därmed inte med hänsyn till nödvändighet i
69 Lenberg m.fl., kommentaren till 3 kap. 1 § OSL. 70 Bohlin, s. 179.
71
Prop. 1970/80:2 del A s. 465. Se även JO 1984/85 s. 265.
72 Jfr JO 1992/93 s. 197 om generellt utformade förbehåll som meddelats av myndigheten i förväg enligt 10 kap. 14 § OSL.
73
Regelns tillämpning har blivit föremål för ett omfattande antal granskningar av både JO samt JK med varie-rande utgång. Beträffande ombudsmännens granskningar se bl. a. JO 1986/87 s. 159, 1993/94 s. 464 samt JK 1997 s. 29.
22
hållande till myndighetens egen verksamhet.74 Mot bakgrund av detta avgörande torde stad-gandets tillämpningsområde vara oklart. De olika exempelsituationer som kommer till uttryck i lagstiftningens motiv är heller inte särskilt vägledande i frågan om, och i sådant fall vilka, möjligheter det finns för ett kommersiellt brukande av bestämmelsen. I förhållande till enskil-da nämns istället enenskil-dast möjligheten till delgivning i motivens specialmotivering.75
Utifrån en granskning av JO:s praxis framkommer att regelns tillämpning i förhållande till enskilda är beroende av en bedömning in casu. Detta förhållande, till följd av dess otydlighet, kan knappast anses vara önskvärt för någon part. Med hänsyn till de motivuttalanden som finns i anslutning till regeln, torde denna i många fall främst vara att betrakta som en nödven-til mot oförutsedda låsningar i regelverket.
3.3.2. Utlämnande med förbehåll
Det är vidare möjligt för myndigheten att lämna ut sekretessbelagda uppgifter till enskild med förbehåll enligt 10 kap. 14 § OSL. Denna regel motsvarar 14 kap. 9 § i den gamla SekrL. Vid tillämpningen av denna regel ska myndigheten först göra en bedömning över huruvida risken för skada eller liknande olägenhet kan undanröjas genom att utlämnandet särskilt villkoras. Vid denna bedömning bör myndigheten ta hänsyn till alla relevanta förhållanden.76 Myndig-heten har sedan till uppgift att närmare utforma och precisera vilka uppgifter förebehållet av-ser samt de närmare rättsverkningar begräsningen i mottagarens användning ska innebära för att säkerställa att skada inte uppkommer vid utlämnandet. Formkravet för dylika förbehåll är vidare att dess innehåll upptas i ett formellt beslut från myndigheten. Enbart tecknande av civilrättsliga avtal mellan myndigheten och mottagaren anses inte vara tillräckligt. Det anses vidare inte vara tillåtet att på förhand meddela generella opreciserade förbehåll. Förbehållet måste således bestämmas till att avse vissa specifika uppgifter.77
Genom det meddelade förebehållet uppkommer en sådan tystnadsplikt som motsvarar den som myndighetens anställda har. Vid ett röjande av uppgiften av mottagaren är detta således straffbart enligt 20 kap. 3 § BrB.78 Regelns tillämpning är dock förenad med vissa begräns-ningar som påverkar möjligheten till användning av denna. Det är inte möjligt att med förbe-håll lämna ut sådana sekretessbelagda uppgifter som enligt sekretessreglering inte är förenad med en bedömning av ett skaderekvisit. Detta medför att sådana uppgifter med en absolut sekretessreglering aldrig kan lämnas ut med stöd av denna regel.79
3.3.3. Regeringens allmänna dispensmöjligheter
Regeringen har enlig 10 kap. 6-7 §§ OSL en allmän möjlighet att i särskilda fall meddela un-dantag från sekretess om det anses motiverat av synnerliga skäl. Regeringen har vidare möj-lighet att förena beslutet om utlämnande med särskilt förbehåll om uppgifternas användande,
74 JO 1992/93 s. 601. Beslutet har dock erhållit kritik i doktrinen på grund av oklarheter hänförligt till nödvän-digheten av utlämnandet i ärendet. Se härom även Ekeroth & Fridström-Montoya, s. 167-168.
75
Prop. 1979/80:2 del A s. 122 f. Jfr dock JO 1982/83 s. 238 där ett delvis kommersiellt intresse kan anses före-legat hos parterna.
76 Se bl.a. RÅ 1997 ref. 21. 77
Se bl.a. JO 1984/85 s. 275, 1992/93 s. 197 samt 1994/95 s. 574. 78 Lenberg m.fl., kommentaren till 10 kap. 14 § OSL.
23
något som motsvarar regeln i 10 kap. 14 § OSL. Redan av regelns ordalydelse framgår att det ska röra sig om speciella omständigheter för att regeln ska tillämpas.80 Enligt motivuttalanden till lagstiftningen bör dispens främst kunna meddelas vid forskningssyften. Regeringen tycks dessutom anammat en tämligen restriktiv inställning mot att tillämpa dispensinstitutet till förmån för enskilda.81
3.4. Behandling av personuppgifter
Samspelande med sekretessregleringen samt det ovan berörda grundlagsstadgade skyddet för den personliga integriteten finns regelverket om hantering av personuppgifter. Inom detta rättsområde är PuL och dess tillhörande förordning de författningar som är mest framträdan-de. Samspelet mellan regleringarna kan beskrivas som att OSL reglerar de fall där uppgifter får utlämnas från myndigheter, medan PuL generellt reglerar frågan huruvida och på vilket sätt de uppgifter som kommer till myndigheter eller företag får behandlas hos dem. Lagstift-ningen utgör således en rättighetslagstiftning som samspelar med 2 kap. 6 § 2 st. RF.
Lagen tillkom för att uppfylla de krav beträffande minimiskydd samt harmonisering av rätts-området som ställdes enligt ett direktiv från EU avseende enskildas behov av skydd för deras integritet då deras personuppgifter behandlades.82 För svensk räkning reglerades området tidi-gare av den numera upphävda datalagen (1973:289) [Cit. DataL]. Den ursprungliga svenska lagstiftningen var ett resultat av en omfattande nationell debatt på 1960-talet kring enskildas integritetsskydd i samband med att svenska myndigheter i stor utsträckning utförde obligato-riska uppgiftsinsamlingar riktade mot enskilda med ändamålet att upprätta olika typer av stati-stik.83
3.4.1. Personuppgiftsbehandling idag
Regleringens syfte är att värna den personliga integriteten för enskilda i samband med att de-ras personuppgifter behandlas. Lagstiftningen är enligt lagens 2 § subsidiär i förhållande till annan speciallagstiftning eller förordning på området. Exempel på områden där annan författ-ning går före tillämpförfatt-ning av PuL är lagstiftförfatt-ningen om utlämnande av allmänna handlingar enligt 6 kap. 4-5 §§ OSL eller lagstiftningen om den officiella statistiken (2001:99). I 3 § PuL definieras de begrepp som används i lagen. Med personuppgifter avses enligt PuL information som direkt eller indirekt kan hänföras till en levande, fysisk person. Uppgifter om juridiska personer omfattas således inte av regleringen. Inte heller omfattas avlidna eller personer som ännu inte fötts. För att en uppgift ska anses utgöra en personuppgift krävs att det är möjligt att utifrån uppgiften kunna identifiera vem personen bakom uppgiften är. En bedömning måste därför göras från fall till fall huruvida det är möjligt att hänföra uppgiften till en fysisk person eller inte. Det kan exempelvis vara tveksamt huruvida enbart en uppgift om en persons namn utgör en personuppgift. Istället kan namnet, tillsammans med andra uppgifter, medföra att det rör sig om personuppgifter.84 Med begreppet behandling av personuppgifter avses vidare
80
Prop. 1979/80:2 del A s. 346-348.
81 Lenberg m.fl., kommentaren till 10 kap. 6 § OSL.
82 Se Europaparlamentets och rådets direktiv 95/46/EG den 24 oktober 1995 om skydd för enskilda med avseen-de på behandling av personuppgifter och avseen-det fria flöavseen-det av sådana uppgifter.
83 Blomberg, s. 9-10. 84 Blomberg, s. 13-15.
